如何為您的網域設定 DMARC、DKIM 和 SPF 記錄？

您是否曾經發送過一封精心設計的電子郵件，卻發現它被埋在收件人的垃圾郵件資料夾中，或者更糟的是，根本沒有送達？這通常表示您的網域缺乏適當的電子郵件驗證。要解決此問題，您需要配置 DMARC, 德基姆以及 SPF 記錄。這些重要的協定在後台運行，用於驗證從您的網域發送的電子郵件是否合法且經過授權。它們可以防止網路犯罪分子冒充您的網域（這種策略稱為欺騙），並顯著提高您的電子郵件送達率。在本指南中，我們將解釋每筆記錄的作用以及如何逐步設定它們—即使您不是技術專家。

🔐 什麼是 DMARC、DKIM 和 SPF？

• SPF（寄件者策略架構）： SPF 就像您網域郵件寄件者的訪客清單。它會告知收件者伺服器哪些 IP 位址或第三方服務（例如 Google Workspace、Zoho、Mailchimp 等）有權代表您傳送電子郵件。當郵件到達時，接收伺服器會檢查您 DNS 中的 SPF 記錄。如果寄件者的 IP 與清單匹配，則該郵件會透過 SPF 偵測。如果不匹配，則會被標記為可疑郵件或被拒絕。這有助於阻止偽裝成您網域的欺騙性郵件。

• DKIM（網域金鑰識別郵件）： DKIM 會為您的網域發送的每封電子郵件新增一個唯一的加密簽章。此簽章使用私鑰生成，並由收件者使用您 DNS 中儲存的公鑰進行驗證。如果電子郵件內容被竄改，DKIM 簽章檢查將會失敗。這就像用防篡改蠟封住您的電子郵件，確保其在傳輸過程中不會被篡改。

• DMARC（基於網域的訊息認證、報告和一致性）： DMARC 將 SPF 和 DKIM 綁定在一個策略下，並告知接收伺服器如何處理身份驗證失敗的電子郵件。您可以將 DMARC 設定為以下三種操作之一：不執行任何操作（p=none），發送至垃圾郵件/隔離區（p=quarantine），或直接拒絕電子郵件（p=reject)。 DMARC 還可讓您收到有關誰使用您的網域發送電子郵件的報告，幫助您監控濫用行為並發現冒充企圖。

🛠️ 設定 SPF、DKIM 和 DMARC 的分步指南

步驟 1：找到您的 DNS 管理面板

造訪您的網域註冊商或 DNS 提供者（例如 GoDaddy、Namecheap、Cloudflare）。您將在此處新增 DNS TXT 記錄。

步驟2：新增SPF記錄

SPF 記錄是一種 TXT 記錄，其中列出了核准的電子郵件傳送伺服器。

SPF 記錄範例：
v=spf1 include:_spf.google.com ~all

這意味著 Google 伺服器被授權代表您的網域發送電子郵件。

• 登入您的 DNS 提供者
• 選擇您的域名
• 新增新的 TXT 記錄
• 姓名/主持人： @
• 價值： v=spf1 include:_spf.google.com ~all
• TTL：自動或 3600 秒

步驟3：設定DKIM

DKIM 通常由您的電子郵件提供者產生（如 Google Workspace、Zoho Mail 等）。

• 前往您的電子郵件提供者的管理控制台
• 尋找 DKIM 設定（通常在「電子郵件身份驗證」下）
• 產生 DKIM 記錄
• 使用以下命令將提供的 TXT 記錄新增至您的 DNS：

姓名/主持人： google._domainkey
價值：始於 v=DKIM1; k=rsa; p=...

新增後，返回您的電子郵件提供者並點擊「開始身份驗證」或「驗證」。

步驟 4：設定 DMARC

DMARC 會告知接收伺服器如何處理未通過 SPF 和 DKIM 檢查的郵件。它還提供報告功能。

基本 DMARC 記錄：
v=DMARC1; p=none; rua=mailto:postmaster@yourdomain.com

• 登入 DNS
• 新增 TXT 記錄
• 姓名/主持人： _dmarc
• 價值： v=DMARC1; p=none; rua=mailto:postmaster@yourdomain.com

您可以稍後更改策略以 quarantine or reject 一旦您查看了報告。

閱讀更多—-> 如何在冷電子郵件和冷電話之間做選擇？

✅ 核實記錄

將 SPF、DKIM 和 DMARC 記錄新增至您網域的 DNS 後，請務必驗證所有設定是否正確。配置錯誤的記錄可能會導致電子郵件投遞失敗、寄件者信譽下降，甚至造成安全漏洞。以下是測試每個協定的方法：

• SPF： 使用像
  MXToolbox SPF 檢查器 尋找您網域的 SPF 記錄。它將驗證您的語法是否正確，以及是否包含所有授權 IP 或電子郵件服務（例如 Google、Microsoft、Mailgun）。如果您看到多個 SPF 記錄，請立即修復 - SPF 只允許每個網域都有一筆有效記錄。
• DKIM： 若要檢查 DKIM 簽章是否有效，請傳送測試電子郵件至
  DKIMValidator.com它會分析你郵件的標題，以驗證 DKIM 簽章是否存在並通過加密檢查。請確保從你正在驗證的網域和服務發送測試郵件。
• DMARC： 使用
  德馬爾恰 or
  MXToolbox DMARC 檢查器 驗證您的 DMARC 記錄。這些工具會檢查您的 DMARC 策略是否結構正確，確認您的報表電子郵件地址有效，並反白顯示任何設定問題。隨著時間的推移，您還可以查看發送到您郵箱的 DMARC 報告，以了解哪些人正在使用您的網域發送郵件，以及他們是否通過了 SPF/DKIM 檢查。

提示：編輯 DNS 記錄後，請務必等待幾分鐘到幾個小時再進行測試，因為 DNS 變更可能需要一些時間才能傳播。

閱讀更多—> 如何在電子郵件中介紹自己？ 

🧠 電子郵件身份驗證的最佳實踐

為確保您的電子郵件驗證設定有效且安全，請遵循以下 SPF、DKIM 和 DMARC 的最佳做法：

• 每個網域僅使用一個 SPF 記錄：
  SPF 不支援多筆記錄。如果您需要授權多個電子郵件服務（例如 Google Workspace、Mailchimp 和事務性電子郵件服務），請使用 include: 機制。擁有多個 SPF 記錄將導致失敗，從而影響電子郵件的送達率。
• 定期監控您的 DMARC 報告：
  DMARC 可讓您接收詳細報告（發送至 rua= 標籤）顯示從您的網域發送的電子郵件的處理方式。這些報告有助於識別未經授權的使用、欺騙嘗試或錯誤配置。使用 DMARCian、Postmark 或 Google Postmaster Tools 等工具，可以以可讀的格式檢視這些 XML 報表。
• 將 DKIM 密鑰設定為每 6 至 12 個月輪換一次：
  DKIM 使用加密金鑰對您的電子郵件進行簽名，與密碼一樣，這些金鑰應定期輪換，以降低洩漏風險。一些電子郵件提供者會自動處理此操作，但如果您手動管理，請設定日曆提醒，以便至少每年更新並重新發布一次 DKIM 記錄。
• 逐漸從 p=none 至 p=quarantine or p=reject:
  首次實施 DMARC 時，最安全的方法是 p=none。這表示您僅監控電子郵件流，而不會影響電子郵件流。一旦您確信 SPF 和 DKIM 記錄正常工作，請轉換到 p=quarantine （將失敗發送到垃圾郵件），並最終發送到 p=reject （完全封鎖未經身份驗證的電子郵件）。這種分階段的方法可以降低意外阻止合法郵件的風險，同時逐步提高您網域的電子郵件安全性。

💡 最後的想法

電子郵件身分驗證聽起來可能比較技術性，但一旦設定完成，就能大幅提升您網域的電子郵件送達率和安全性。如果您使用電子郵件進行行銷、商務溝通或推廣，DMARC、DKIM 和 SPF 是抵禦網路釣魚和詐騙的重要保障。

還是不確定或時間緊迫？許多電子郵件行銷平台（例如 Google Workspace、Zoho Mail、SendGrid 或 Mailchimp）都內建了精靈或指南，可為您產生必要的記錄。您只需將它們複製並貼上到您的 DNS 面板即可。

11 倍於您的 LinkedIn 推廣
自動化和通用人工智慧

利用 LinkedIn 自動化和 Gen AI 的強大功能，以前所未有的方式擴大您的影響力。每週透過人工智慧驅動的評論和有針對性的活動吸引數千條潛在客戶 - 所有這些都來自一個強大的潛在客戶生成平台。

連繫客服安排產品介紹 開啟免費體驗